Meer duidelijkheid gestolen persoonsgegevens gemeente Epe

EPE- Op 12 maart zijn er bestanden gestolen van het computernetwerk van de gemeente Epe. Op 10 maart 2026 kregen hackers via een zogeheten ClickFix-aanval toegang tot het netwerk van de gemeente. Twee dagen later downloadden ze bijna 552.000 bestanden. Een IT-dienstverlener detecteerde de download en sloeg alarm. Daarna is de toegang tot het netwerk geblokkeerd en vervolgens hebben we maatregelen genomen om ons netwerk schoon en veilig te maken. In de daaropvolgende weken is uitgebreid onderzoek gedaan naar de details van het datalek en de gestolen gegevens. “Ook hebben we onderzocht of andere systemen, buiten de bestandsserver, zijn benaderd. Dat is niet het geval. Vooral het data-onderzoek vergde tijd, omdat het gaat om heel veel verschillende typen bestanden die zonder vaste structuur waren opgeslagen en eerst moesten worden geïndexeerd voordat er gericht kon worden gezocht. Het onderzoek laat zien dat van bijna alle inwoners van de gemeente Epe zeer waarschijnlijk de volgende gegevens zijn gestolen: naam, adres, geslacht, geboortedatum, geboorteplaats en geboorteland en burgerservicenummer (BSN). De gemeente heeft geen DigiD-gebruikersnamen en -wachtwoorden van inwoners. DigiD is dus veilig.

Zaten er ook andere gegevens bij?

Van sommige inwoners zitten er ook andere gegevens bij, omdat zij bijvoorbeeld een gemeentelijke voorziening hebben aangevraagd of een bezwaarschrift hebben ingediend. Het gaat dan bijvoorbeeld om contactgegevens, bankrekeningnummers en/of om kopieën van identiteitsbewijzen. Met een kopie van een identiteitskaart, paspoort of rijbewijs is de kans op bijvoorbeeld identiteitsfraude groter. “We hebben daarom laten onderzoeken van welke inwoners een kopie van een geldig identiteitsbewijs bij de gestolen bestanden zit. Inwoners van wie zo’n kopie is gevonden krijgen, zo snel mogelijk en uiterlijk voor 8 mei 2026, een aparte brief toegestuurd. Daarin staat hoe zij dit document gratis kunnen laten vervangen. Zo verkleinen we de kans op fraude.” Burgemeester Tom Horn: “Ik betreur het ten zeerste dat zeer waarschijnlijk alle inwoners door dit datalek zijn getroffen. Ondanks dat dit geen fijne boodschap is, vind ik het wel belangrijk dat er nu duidelijkheid is over welke gegevens zijn gestolen. Die duidelijkheid helpt om de juiste maatregelen te nemen en om onze inwoners goed te informeren. Ik vraag inwoners nadrukkelijk alert te zijn op phishing en andere verdachte berichten. Samen kunnen we de schade beperken en geven we cyber-criminelen minder kans.”

Er zijn ongeveer 552.000 bestanden gestolen. Vanwege het grote aantal bestanden weet de gemeente op dit moment niet per bestand van wie welke gegevens daarin zitten. Op basis van het advies van deskundigen verwachten ze geen extra informatie te kunnen halen uit verder onderzoek. Het advies dat de inwoners bij ‘Wat kunnen inwoners doen?’ wordt gegeven verandert hierdoor niet.

Wat betekent dit voor inwoners?

Datalekken kunnen leiden tot spam of nep-berichten. Om dit soort nep-berichten te sturen, hebben criminelen een e-mailadres of telefoonnummer nodig. Omdat de gemeente daarvan geen lijsten bijhoudt, geldt voor de meeste inwoners dat die gegevens niet zijn gestolen. In losse bestanden kunnen dit soort gegevens wel zitten, bijvoorbeeld in een aanvraag of bezwaarschrift. Ook kunnen criminelen de informatie uit dit datalek combineren met gegevens die ze ergens anders hebben gestolen. Wat kunnen inwoners doen? De gemeente adviseert te letten op verdachte situaties zoals: Een brief, telefoontje of bericht van iemand die zich voordoet als een officiële organisatie. Berichten waarbij om extra gegevens of om geld wordt gevraagd. Situaties waarbij iemand laat merken persoonlijke gegevens te kennen. Op www.epe.nl/datalek vinden inwoners tips en een overzicht van handige websites.